会员服务
漏洞利用 · 自动化 · 智能合约 · 语言模型 · 大语言模型 ·
1 月 25 日
Prompt to Pwn: Automated Exploit Generation for Smart Contracts
翻译:提示即攻破:智能合约的自动化漏洞利用生成
Zeke Xiao,Qin Wang,Yuekang Li,Shiping Chen
Zeke Xiao,Qin Wang,Yuekang Li,Shiping Chen
from arxiv, ACISP2026

Smart contracts are important for digital finance, yet they are hard to patch once deployed. Prior work mostly studies LLMs for vulnerability detection, leaving their automated exploit generation (AEG) capability unclear. This paper closes that gap with \textsc{ReX}, a framework that links LLM-based exploit synthesis to the Foundry stack for end-to-end generation, compilation, execution, and verification. Five recent LLMs are evaluated across eight common vulnerability classes, supported by a curated dataset of 38{+} real incident PoCs and three automation aids: prompt refactoring, a compiler feedback loop, and templated test harnesses. Results indicate strong performance on single-contract PoCs and weak performance on cross-contract attacks; outcomes depend mainly on the model and bug type, with code structure and prompt tuning contributing little. The study also surfaces gaps in current defenses against LLM-driven AEG, pointing to the need for stronger protections.


翻译:智能合约在数字金融领域至关重要,然而一旦部署便难以修补。现有研究主要关注利用大型语言模型进行漏洞检测,对其自动化漏洞利用生成能力尚不明确。本文通过提出 \textsc{ReX} 框架填补了这一空白,该框架将基于大型语言模型的漏洞利用合成与 Foundry 工具链相连接,实现端到端的生成、编译、执行与验证。研究选取五种近期发布的大型语言模型,在八类常见漏洞上进行了评估,并构建了包含 38{+}个真实事件概念验证的数据集,辅以三项自动化辅助机制:提示重构、编译器反馈循环和模板化测试框架。结果表明,模型在单合约概念验证上表现强劲,但在跨合约攻击中表现较弱;生成效果主要取决于模型类型和漏洞类别,而代码结构和提示调优的影响甚微。本研究同时揭示了当前防御机制在应对大型语言模型驱动的自动化漏洞利用生成方面存在的不足,指出了加强防护措施的必要性。
0
下载
关闭预览

相关内容

【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
《革命性软件智能:融合神经程序合成、量子安全运维与可解释人工智能的下一代自主系统统一框架》最新报告
《革命性软件智能:融合神经程序合成、量子安全运维与可解释人工智能的下一代自主系统统一框架》最新报告
专知会员服务
24+阅读 · 2025年8月28日
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
专知会员服务
20+阅读 · 2025年7月23日
【新书】生成式AI的提示工程:为可靠的AI输出提供面向未来的输入
【新书】生成式AI的提示工程:为可靠的AI输出提供面向未来的输入
专知会员服务
68+阅读 · 2024年6月10日
【新书】生成式人工智能的提示工程:为可靠的AI输出提供面向未来的输入
【新书】生成式人工智能的提示工程:为可靠的AI输出提供面向未来的输入
专知会员服务
67+阅读 · 2024年5月25日
《生成式模型: 变分自编码器与扩散模型》,75页ppt,Google DeepMind科学家Ruiqi Gao
《生成式模型: 变分自编码器与扩散模型》,75页ppt,Google DeepMind科学家Ruiqi Gao
专知会员服务
66+阅读 · 2023年6月10日
【吴恩达新课程】ChatGPT提示工程,ChatGPT Prompt Engineering for Developers
【吴恩达新课程】ChatGPT提示工程,ChatGPT Prompt Engineering for Developers
专知会员服务
104+阅读 · 2023年4月28日
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
专知会员服务
235+阅读 · 2023年3月20日
智能合约的形式化验证方法研究综述
专知会员服务
34+阅读 · 2021年5月8日
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
港科大浙大最新《深度生成模型三维表示》综述,20页pdf全面阐述3D生成进展
港科大浙大最新《深度生成模型三维表示》综述,20页pdf全面阐述3D生成进展
专知
12+阅读 · 2022年10月31日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
高效的文本生成方法 — LaserTagger 现已开源
高效的文本生成方法 — LaserTagger 现已开源
TensorFlow
30+阅读 · 2020年2月27日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
产业智能官
35+阅读 · 2019年4月30日
干货|当深度学习遇见自动文本摘要,seq2seq+attention
干货|当深度学习遇见自动文本摘要,seq2seq+attention
机器学习算法与Python学习
10+阅读 · 2018年5月28日
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
互联网金融
10+阅读 · 2017年7月13日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于多目标优化的约束模式挖掘方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
针对S芯片验证模块引脚信息的自动分析技术
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Evaluating the Vulnerability Landscape of LLM-Generated Smart Contracts
Arxiv
0+阅读 · 2月3日
LogicScan: An LLM-driven Framework for Detecting Business Logic Vulnerabilities in Smart Contracts
Arxiv
0+阅读 · 2月3日
MoveScanner: Analysis of Security Risks of Move Smart Contracts
Arxiv
0+阅读 · 2月2日
Enhancing Smart Contract Vulnerability Detection in DApps Leveraging Fine-Tuned LLM
Arxiv
0+阅读 · 1月31日
SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode
Arxiv
0+阅读 · 1月31日
Towards Automated Smart Contract Generation: Evaluation, Benchmarking, and Retrieval-Augmented Repair
Arxiv
0+阅读 · 1月27日
Breaking the Protocol: Security Analysis of the Model Context Protocol Specification and Prompt Injection Vulnerabilities in Tool-Integrated LLM Agents
Arxiv
0+阅读 · 1月24日
Security Vulnerabilities in Ethereum Smart Contracts: A Systematic Analysis
Arxiv
0+阅读 · 1月16日
Smart Contract Vulnerabilities, Tools, and Benchmarks: an Updated Systematic Literature Review
Arxiv
0+阅读 · 1月14日
SolContractEval: A Benchmark for Evaluating Contract-Level Solidity Code Generation
Arxiv
0+阅读 · 1月13日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
漏洞利用
自动化
智能合约
语言模型
大语言模型
相关VIP内容
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
【NeurIPS2025】DNA-DetectLLM:基于 DNA 启发的“突变-修复”范式揭示 AI 生成文本
专知会员服务
12+阅读 · 2025年9月22日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
9+阅读 · 2025年9月3日
《革命性软件智能:融合神经程序合成、量子安全运维与可解释人工智能的下一代自主系统统一框架》最新报告
《革命性软件智能:融合神经程序合成、量子安全运维与可解释人工智能的下一代自主系统统一框架》最新报告
专知会员服务
24+阅读 · 2025年8月28日
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
专知会员服务
20+阅读 · 2025年7月23日
【新书】生成式AI的提示工程:为可靠的AI输出提供面向未来的输入
【新书】生成式AI的提示工程:为可靠的AI输出提供面向未来的输入
专知会员服务
68+阅读 · 2024年6月10日
【新书】生成式人工智能的提示工程:为可靠的AI输出提供面向未来的输入
【新书】生成式人工智能的提示工程:为可靠的AI输出提供面向未来的输入
专知会员服务
67+阅读 · 2024年5月25日
《生成式模型: 变分自编码器与扩散模型》,75页ppt,Google DeepMind科学家Ruiqi Gao
《生成式模型: 变分自编码器与扩散模型》,75页ppt,Google DeepMind科学家Ruiqi Gao
专知会员服务
66+阅读 · 2023年6月10日
【吴恩达新课程】ChatGPT提示工程,ChatGPT Prompt Engineering for Developers
【吴恩达新课程】ChatGPT提示工程,ChatGPT Prompt Engineering for Developers
专知会员服务
104+阅读 · 2023年4月28日
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
ChatGPT中的提示工程(Prompt)怎么做?DAIR.AI最新《提示工程指南》,全面讲述提示技术,附书册课件视频
专知会员服务
235+阅读 · 2023年3月20日
智能合约的形式化验证方法研究综述
专知会员服务
34+阅读 · 2021年5月8日
热门VIP内容
相关资讯
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
港科大浙大最新《深度生成模型三维表示》综述,20页pdf全面阐述3D生成进展
港科大浙大最新《深度生成模型三维表示》综述,20页pdf全面阐述3D生成进展
专知
12+阅读 · 2022年10月31日
智能合约的形式化验证方法研究综述
智能合约的形式化验证方法研究综述
专知
16+阅读 · 2021年5月8日
高效的文本生成方法 — LaserTagger 现已开源
高效的文本生成方法 — LaserTagger 现已开源
TensorFlow
30+阅读 · 2020年2月27日
Xsser 一款自动检测XSS漏洞工具
Xsser 一款自动检测XSS漏洞工具
黑白之道
14+阅读 · 2019年8月26日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
【数字孪生】数字孪生是制造业实现“智能+”的技术接口
产业智能官
35+阅读 · 2019年4月30日
干货|当深度学习遇见自动文本摘要,seq2seq+attention
干货|当深度学习遇见自动文本摘要,seq2seq+attention
机器学习算法与Python学习
10+阅读 · 2018年5月28日
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
【技术贴】面对无孔不入的黑产,如何搭建反欺诈策略与模型?
互联网金融
10+阅读 · 2017年7月13日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
相关论文
Evaluating the Vulnerability Landscape of LLM-Generated Smart Contracts
Arxiv
0+阅读 · 2月3日
LogicScan: An LLM-driven Framework for Detecting Business Logic Vulnerabilities in Smart Contracts
Arxiv
0+阅读 · 2月3日
MoveScanner: Analysis of Security Risks of Move Smart Contracts
Arxiv
0+阅读 · 2月2日
Enhancing Smart Contract Vulnerability Detection in DApps Leveraging Fine-Tuned LLM
Arxiv
0+阅读 · 1月31日
SmartBugBert: BERT-Enhanced Vulnerability Detection for Smart Contract Bytecode
Arxiv
0+阅读 · 1月31日
Towards Automated Smart Contract Generation: Evaluation, Benchmarking, and Retrieval-Augmented Repair
Arxiv
0+阅读 · 1月27日
Breaking the Protocol: Security Analysis of the Model Context Protocol Specification and Prompt Injection Vulnerabilities in Tool-Integrated LLM Agents
Arxiv
0+阅读 · 1月24日
Security Vulnerabilities in Ethereum Smart Contracts: A Systematic Analysis
Arxiv
0+阅读 · 1月16日
Smart Contract Vulnerabilities, Tools, and Benchmarks: an Updated Systematic Literature Review
Arxiv
0+阅读 · 1月14日
SolContractEval: A Benchmark for Evaluating Contract-Level Solidity Code Generation
Arxiv
0+阅读 · 1月13日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
基于学习的智能化漏洞挖掘关键技术研究
国家自然科学基金
6+阅读 · 2017年12月31日
基于多目标优化的约束模式挖掘方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
针对S芯片验证模块引脚信息的自动分析技术
国家自然科学基金
0+阅读 · 2015年12月31日
基于WEB信息的信息错误自动检测与修复技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
自检测型量子密钥分配研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top